資安

微軟指竊資程式擴及macOS，攻擊者透過Google Ads假網站與誘導指令散布，竊取密碼、Cookie、錢包與鑰匙圈，並濫用WhatsApp與假Crystal PDF等工具擴大散布

資安公司Pillar Security、SecureLayer7，以及Endor Labs揭露一項新漏洞CVE-2026-25049，並指出該漏洞源自CVE-2025-68613修補不夠完整，而且相當容易利用，攻擊者只要能夠建立工作流程，就能藉著漏洞完全控制n8n伺服器

近日華芸科技（Asustor）修補NAS作業系統Asustor Data Master（ADM）重大漏洞CVE-2026-24936，並指出該漏洞相當危險，因為攻擊者能以此複寫重要系統檔案並完全控制設備，對此，該公司呼籲用戶儘速套用更新因應

Betterment遭社交工程入侵取得存取權後，攻擊者透過第三方平臺發送加密貨幣詐騙訊息，2月3日鑑識稱帳戶與密碼未遭入侵，HIBP分析外流含約140萬個Email地址、姓名與地理位置

付費訂閱創作平臺Substack本周通知用戶去年10月的資安事故，導致用戶個資外洩，可能有高達70萬筆資料受影響

Kubernetes專案修補Ingress-nginx Controller高風險漏洞CVE-2026-24512，CVSS分數達8.8分。具備建立或修改Ingress資源權限的使用者，可能藉由設定注入觸發遠端程式碼執行，並影響叢集Secrets安全

針對Notepad++供應鏈攻擊事故的調查，資安公司卡巴斯基公布更完整的調查結果，指出駭客的活動大致可分成3波，前兩次偏向偵察、確認目標，以及測試，第三波才散布後門程式Chrysalis

資安公司Check Point針對中國APT駭客組織Amaranth-Dragon的活動提出警告，指出這些駭客針對東南亞多個國家而來，利用WinRAR已知漏洞CVE-2025-8088從事針對性攻擊，並部署惡意程式Amaranth Loader或TGAmaranth RAT，以便遠端控制受害電腦